EN

Еще один хакер сообщил о дыре в «Приват24», но к ее описанию есть вопросы

1397
7

Еще один специалист по компьютерной безопасности Евгений Докукин сообщил о дыре в безопасности мобильного приложения «Приват24», об этом пишет Threatpost. Но в «ПриватБанке» отмечают, что описание проблемы некорректно, и фактически речь идет о той же уязвимости, которую обнаружил Алексей Мохов. Уязвимость, кстати, уже устранили.

Механизм работы уязвимости описан в англоязычной рассылке Full Disclosure и в переводе звучит таким образом: «ПриватБанк» защищает учетные записи пользователя с помощью номера его мобильного телефона – в качестве имени пользователя – и пароля. Пользователь должен ввести свой пароль для логина, с или без одноразового пароля. В этом и состоит сложность выполнения атаки. Злоумышленник должен выполнить вторую атаку, возможно с помощью вредоносного приложения или с использованием фишинговой схемы, для получения пароля пользователя, и лишь тогда он сможет компрометировать приложение и потенциально украсть деньги». 

Как AIN.UA сообщил Алексей, описание в стиле «мобильное приложение уязвимо для кражи учетных данных» вызывает вопросы, ведь если у пользователя уведут логин и пароль, любое мобильное приложение, к примеру, Facebook, станет уязвимым.

Кроме того, в описании говорится, что мошенник должен провести вторую атаку, возможно, с помощью вируса или фишинга, чтобы получить пароль, и тогда сможет потенциально украсть средства. Тогда получается, уязвимость в том, что банк не высылает мобильному пользователю постоянно одноразовые пароли (OTP), как это происходит в веб-версии.

«Давно известно, что «Приват24» в мобильной версии валидирует приложение только один раз через SMS, а далее использует только вход по логину и паролю. Соответственно, если знать протокол общения с банком и учетные данные пользователя, можно красть с его счета средства. Так что особого открытия здесь нет», — сказал Мохов. Тем же пользователям, которые хотят себя обезопасить, можно включить в настройках мобильного приложения двухфакторную авторизацию.

В «ПриватБанке» сообщили, что согласны с комментарием Мохова.

Напомним, Алексея Мохова после публикации отчета об уязвимости в Android-приложении «Приват24» зовут на работу в два банка — «ПриватБанк» и BitBank.

Оставить комментарий

Комментарии | 7

  • ОН НЕ ХАКИР, А НОВЫЙ БАБУШКИН) А вообще это все бред. Не какой серьезной угрозы то, что он нашел не несет. Чтобы ее эксплуатировать требуется наличия стороннего приложения на мобильном телефоне пользователя

  • Редакторы aim, может вы про меня напишите новости? Я нашел несколько десятков уязвимостей на привате. Есть скриншоты на несколько. Они не требуют постороннего приложения и многие эксплуатируются без участия клиента. О них всех я сообщил по банковской программе bug bounty и начинаю получать от банка денежные вознаграждения. А вы пишите про этот бред.

  • подскажите, где в мобильном приложении включить двухфакторную авторизацию. на iOS не нахожу. спасибо.

Последние новости
28 сен
Смотреть все
  • Истории компаний
  • НДС для Facebook и Netflix
  • Расследования AIN.UA
  • Спецпроекты
  • Безопасность номера
  • Безпека гаманця
Реклама на AIN.UA

Поиск